フィッシング対策協議会からの報告によると、2025年の日本国内におけるフィッシング報告件数は約245万件に達し、過去最多を大きく更新しました。しかし、この急増は突発的な出来事ではありません。実際には、2020年以降、フィッシング報告件数は6年連続で増加し続けており、2026年に関しても引き続き増加する可能性が高い状況になっています。
そこで、本記事では、2020年以降のフィッシング被害の推移から、特に昨年2025年のフィッシング攻撃の動向を総括します。そして、2026年以降も継続的に必要となる対策として、今回は電子証明書を活用したフィッシング対策の有効性について解説します。

年々深刻化するフィッシング被害の実態

2020年以降のフィッシング状況

2020年から2025年にかけて、フィッシング報告件数は6年連続で増加しています。各年間累計の推移は以下のとおりです。

フィッシング対策協議会より引用して弊社にて作成

この推移は、組織・個人を問わずフィッシング攻撃の脅威が中長期的トレンドとして拡大していることを示します。特に2020年と2025年を比較すると、直近5年間で約10倍以上に報告件数は増加していることがわかります。

このことから、2025年が2024年からの前年比が過去最大に増えていることも踏まえた上で、単年の異常値ではなく、構造的なリスク増大と捉えるべきフェーズになっています。

2025年の報告件数の推移と実際の被害

以下のグラフのように、2025年の年間累計のフィッシング報告件数は約245万件に達しました。

フィッシング対策協議会より引用して弊社にて作成

実際のグラフを見ると、1～2月は他の月と比較しても少ないですが、3月に急増し、その後は継続して月20万件前後のフィッシング報告があったことが分かります。では、実際に各月ではどのようなフィッシング攻撃が行われ、どのような被害があったのでしょうか。

1月～2月が少ないのは、偽サイトの多くが中国のシステムを経由していることから、春節（旧正月）が関係しているとされています。そのため、この減少傾向は例年通りの動きになります。

しかし、3月～4月は例年以上に急増しています。それには、以下のような要因が挙げられます。

• ①春節（旧正月）が終わり、攻撃者側の動きが活発化してきた
• ②金融機関を標的としたリアルタイムフィッシングによる従来の2段階認証や多要素認証を突破する動きなどが見られた
• ③生成AIの進化により、ユーザでは見抜けづらいフィッシングメールの作成が容易になった
• ④PhaaSの普及によりフィッシング攻撃が知識のないユーザでも出来てしまうようになった

上記の中でも特に話題となったのが、金融機関の利用者を標的としたリアルタイムフィッシングです。リアルタイムフィッシングの具体的な手口としては、攻撃者が金融機関を装ったフィッシングサイトへ誘導するメールやSMSにより、誤ってアクセスしてしまったユーザがそのままID/パスワードやワンタイムパスワードによる認証を行ってしまいます。その認証情報を攻撃者はフィッシングサイトからリアルタイムで入手し、そのまま正規のサイトへアクセスする、という手法になります。

これに伴い、金融庁が4月また8月に注意喚起を行いました。それに続き、各金融機関も動いたことで、25万件を超える報告件数までには至りませんでしたが、以前として各月20万件前後を維持しているという点で非常に危険な状態が続いていることが分かります。実際に、2025年12月8日時点において、11月末におけるインターネットバンキングに係る不正送金被害の件数は5,147件、被害額は約80.1億円となり、過去最高を更新しています。

『フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）』より引用して弊社にて作成

しかし、フィッシングによる被害は、上記のようなインターネットバンキングに係る不正送金被害だけではありません。フィッシング報告件数としては下降傾向にあった10月～12月ですが、この時期には大規模なランサムウェア被害が次々と発生しました。主な原因としては、VPNやリモートデスクトップの脆弱性、認証情報を狙った攻撃が中心でした。

直近では減少傾向の要因にありますが、フィッシングメールによって認証情報が流出してしまっていたケースや、フィッシングメールの添付ファイルの開封でランサムウェアに感染してしまうケースもあります。

このように攻撃対象や攻撃による被害は異なりますが、いずれもフィッシングメールが発端となることが非常に多いです。このことからユーザが正規か偽物か判別しやすいメールへの対策が有効であると想定されます。

電子証明書によるフィッシング対策とは

フィッシング対策として主に挙げられる方法としては、以下が挙げられます。

1. ①セキュリティ教育・訓練によるユーザ対策
2. ②受信メール・ドメイン（DMARCなど）での入口への対策
3. ③システムへの認証・アクセス対策による被害防止
4. ④WebフィルタリングやEDRの導入による検知での対策
5. ⑤正規ブランドの可視化・ブランドの保護

その上で、今回は、この中でも電子証明書で対応可能なフィッシングメール対策に注目します。

「S/MIME」によるメール真正性の担保

S/MIMEは、上記リストの②に該当する対策となり、「メールへの電子署名」を行うことが可能です。電子署名をすることでメール送信元の身元が正しいことを証明し、送り主を偽装したフィッシング攻撃を防ぐことが可能です。また、送信中に攻撃者によってメールの本文などを改ざんされた場合でも、警告表示がされるため、ユーザでも問題あるメールであることを簡単に検知することができます。

実際に、実在する企業の社長をかたって社員らにメールを送り、「業務に必要」などと資金を送らせて騙し取る手口の詐欺が発生しています。その被害額は累計1億円を超えているとされており、2026年1月9日に警視庁も警戒を呼び掛けています。そのため、BtoBのやりとりでも『正しい人物が送っているかどうか』が非常に重要となっています。

S/MIMEは、Outlookでは送受信どちらも対応していることと、Gmailでは受信時のS/MIMEは確認できること。ただし、後述するVMCではOutlookが対応していないことを踏まえて、業務でのメールソフトとして多く利用されているOutlook上で発生しかねない、上記のような業務内容でのフィッシングメールに対して最適な対策といえます。

「VMC」によるブランドなりすまし対策と信頼性向上

VMCは、メールの送信元を検証し、ブランドのロゴをメールクライアントの受信トレイ上で表示できるようにするための電子証明書です。また、ロゴのみならず、GmailやYahoo Mailなどのような一部のメールサービスではロゴ表示の他に、認証済みマークが表示されます。これにより、受信者は届いたメールが正規であることを視覚的に簡単に判別することが可能となります。そのため、VMCは⑤にあたるブランドの可視化やそのブランドイメージの保護が可能です。

VMCでは、現在はまだOutlookは対応していないため、GmailやYahooメール等で受信することが多いケースにおいて非常に有効な手段となります。そのため、BtoBのやり取りでも有効ですが、特にBtoCでの一斉配信メールでより効果を発揮する対策といえます。

自社のサービスや受信するユーザのメールソフトに合わせて、S/MIMEとVMCで対策するかどうかを検討する必要があります。ただし、電子証明書は既存の対策を置き換えるものではなく、あくまで多層防御の中の1つで「人の判断に依存しすぎない」ための重要な補完策です。

まとめ

フィッシング攻撃は収束しない脅威であり、今後も継続的に同様のフィッシング攻撃数か、2026年3月以降の更なる増加が想定されます。対策としては、注意喚起やフィッシング判別のトレーニングは不可欠ですが、生成AIの進化に伴い、ユーザによる判別の依存の限界が見えてきてます。

そこで、対策の1つとして挙げられるのが、電子証明書の「S/MIME」と「VMC」です。これらを導入することで「送信元が本物かどうか」や「受信した内容が本物かどうか」をユーザでも容易に判別することが可能となり、メール受信時での早期の対策やブランドの保護まで可能となります。フィッシングによる被害は個人のみならず企業にも及ぶケースも多くあるため、今後の動向に合わせた対策を実施することが大切です。